烽火18台系列之九－防篡改“魔力三角”

今天借着烽火台系列写一篇关于网页防篡改的文章，因为小编平日里与客户交流发现，目前网页的篡改问题仍然是客户最为头疼的网络安全问题之一。而提到“防篡改”，大多数人第一时间想到的是“防篡改系统”。而小编要说的是：

“防篡改系统”≠“防篡改”

防篡改系统的前世今生防篡改系统发展至今共经历了四代技术（每代技术各家叫法不同，但原理基本相同），而这四代技术在不同的年代都解决了一定的问题，但同时也因为暴露的缺陷而不断更迭。

第一代技术：时间轮询技术

这是早期使用的技术，顾名思义，其是采用定时循环扫描，且每次扫描均从头到尾进行。

该机制有两大问题：

1、现在的网站少则几千个文件，大则几万，几十万个文件，轮询机制不仅需要耗费大量的时间，还会大大影响服务器性能。

2、因为存在扫描的间隙，所以会存在 “盲区”，这段时间内外部的访问均是被篡改的页面，“盲区”的时长由网站文件数量、磁盘性能、CPU性能等众多客观因素来决定。

第二代技术：事件触发技术

该技术以稳定、可靠、占用资源极少著称，其原理是利用操作系统的文件系统或驱动程序接口，在网页文件的被修改时进行合法性检查，对于非法操作进行报警和恢复。

可以看出，该技术是典型的“后发制人”，即非法篡改已经发生后才可进行恢复，其存在两大问题：

1、如果采取“连续篡改”的攻击方式，由于是篡改后程序才进行检查和恢复，则同样会存在一个系统延迟的时间间隔，而连续篡改往往利用自动化脚本每秒上千次篡改，这会导致大众访问的一直是篡改后网站。

2、目录监控的安全性受制于防篡改监控进程的安全性，如果监控进程被强行终止，则防篡改功能就立刻消失，网站目录就又面临被篡改的危险。

第三代技术：核心内嵌技术

核心内嵌技术即数字水印技术，最初先将网页内容采取非对称加密存放，在外来访问请求时将经过加密验证过的，进行解密对外发布，若未经过验证，则拒绝对外发布，调用备份网站文件进行验证解密后对外发布。

这样即使黑客成功对内容进行了修改，也不能对外发布。表面看上去，这种技术非常完善，但没有100%的安全，此类方式同样存在问题：

1、市面上“数字水印”的密码学算法，无一例外地使用 MD5散列算法，该散列算法在2004年被我国密码学家山东大学的王小云教授攻破，使得伪造出具有相同数字水印而内容截然不同的文件立刻成为了现实。目前，包括MD5在内多种密码学算法在网络中基本成为“公开的秘密”。当“数字水印”技术使用一个已被攻破的脆弱算法时，其安全性也就轰然倒塌了。

2、“数字水印”技术在计算大于100KB大小的文件“指纹”时，其速度将随着文件的增大而逐步下降到让人无法忍受的地步，因此大多数产品都会默认设置一个超过xxx KB的文件不进行数字水印检查规则。关于这项安全隐患，读者可以随便找个10MB以上的文件放入网站目录中，然后再访问该文件，如果发现文件可以访问或者下载，即可证明当前使用的防篡改产品存在该安全隐患。

3、数字水印属于模块化功能，需插入web服务软件中，这种缺陷导致一旦计算水印散列模块被卸载，防篡改能力随即消失。

第四代技术：文件过滤驱动技术

文件过滤驱动技术是目前主流防篡改厂商所采用的技术，通常与事件触发技术配合使用。其原理是采用操作系统底层文件过滤驱动技术，拦截与分析IRP流，对所有受保护的网站目录的写操作都立即截断，且整个文件复制过程为毫秒级，使得公众无法看到被篡改页面，其运行性能和检测实时性都达到很高的水准。

这种方式的确大大增大了黑客篡改的难度，但仍然做不到100%安全，随手在互联网上搜索，就会发现其仍然有很多缺陷:

1、基于实际应用中各种复杂环境与因素的考虑，操作系统的设计者在系统内核底层设计了多种可以读写文件的方式，相关数据流不单单是走文件过滤驱动这一条线。网络上大家常用的各种“文件粉碎机”强制删除顽固文件就是基于相关原理的。（绕过代码网上即可找到，在这里不做展示了）

2、文件路径表示除了正常的方式之外，还可以用DOS8.3文件路径表示法，当文件名的长度超过8个字符时，就可以用DOS8.3路径表示。

我相信未来还会不断有新的防篡改技术诞生，但大家应该能够发现，一味的从防御角度出发解决网页篡改问题犹如“管中窥豹”，黑客永运可以通过尝试，发现技术缺陷，而防御技术的更新永远落后于攻击。

防篡改“魔力三角”

中医有句俗话是“治病先看病”，在网络安全中同样适用。网页发生篡改就像感冒发烧，症状是发烧，但根本问题却是身体内部出现了问题。而篡改则是网站存在风险。而发现风险则是从根本上解决网页篡改问题的第一步。

而漏洞则是最为常见的风险。很多客户都说部署了漏扫产品，但漏洞扫描类似于医生的“望、闻、问、切”，医生会观察身体的各类反应，从而进行准确的诊断。漏洞扫描也要覆盖网站或业务系统的各个部分，其中要包括系统漏洞、Web漏洞、中间件及数据库漏洞，这样才能不存在短板。

第二个风险是弱口令，谁也不想黑客通过口令简简单单的控制了网站甚至是服务器，那么再多的防护设备也无计可施。

发现了病症所在，就要“对症下药”进行风险控制。做完风险控制后才是防御。防御也应该分为两个部分，以Kill Chain模型来看，防篡改仅仅是针对攻击最后一步的防御，而完成一次攻击还需要很多环节，在这些环节之中，同样需要检测及防御设备，这也就是国内普遍应用的纵深防御理念。

任何事物都有两面性，同样也没有绝对的安全。

无论是风险控制还是纵深防御，其本质都是在增加黑客的攻击成本。但安全还有一种思路，叫做态势感知。即使黑客通过各种手段突破了层层防护，我们还可以做的是第一时间发现攻击，比如有组织黑客常用的Webshell，即俗称的网站后门。黑客组织往往前期在网站中植入了Webshell，然后伺机而动。对于解决防篡改，Webshell的检测尤为重要。再进一步，如果绕过了防篡改系统，发生了篡改，仍然要有外部的发现机制，从而第一时间进行手工恢复，甚至是自动关闭，事后再进行溯源，防止再次发生。

从上可以总结出新型的安全方法论应该是：以风险控制为先，多角度检查风险情况，降低系统遭受攻击的可能性。然后基于Kill Chain模型，在攻击过程中采用纵深防御理念进行安全防护。最后，要具备态势感知能力，在攻击发生后第一时间响应并处置。

盛邦安全基于对Web领域多年的积累，以及新型安全方法论，提出了防篡改“魔力三角”方案。

通过烽火台-网站监控预警系统（RAYSaaS）对网站进行事前的风险检测，发现网站的系统漏洞、Web漏洞、中间件及数据库漏洞，同时可检测网站所存在弱口令问题；7*24小时的实时监测，能够及时发现Webshell，并确保发生篡改攻击后能够第一时间发现并告警。

通过锐御-Web应用防火墙（RAYWAF）对网站进行安全防护，阻断黑客对目标的探测、工具的传输、漏洞的利用、控制等攻击过程。同时集成了威胁情报能力，大幅提升对于高级攻击的检测发现能力。

通过锐锁-网页防篡改系统（RAYLOCK）的文件过滤驱动技术+事件触发技术，来加强对于篡改攻击的阻断及事后恢复。

网络安全永远是人与人的较量，盛邦安全愿与各位在安全的道路上共同前行。